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Frankiermaschine 



Die Erfindung betrifft eine Frankiermaschine gemaS dem Oberbegriff des An- 
spruches 1 . 

Eine solche Frankiermaschine ist beispielsweise aus der EP 789 333 A2 bekannt. 
Diese ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, 
mit einer zentralen Steuerung zum Steuern des Druckens und der peripheren 
Komponenten der Frankiermaschine, miteiner Abrecheneinheit zum Abrechnen von 
Postgebuhren, die in nicht-fluchtigen Speichern gehalten werden, und einer Einheit 
zum kryptografischen Absichern der Postgebuhrendaten ausgestattet. Die 
Abrecheneinheit und/oder die Einheit zum Absichern des Druckens der Postge- 
buhrendaten kann von einem sogenannten Sicherheitsmodul realisiert werden. 

Zum Schutz des Sicherheitsmodules ist es bekannt, dieses so auszugestalten, dass 
es nur ein einziges Mai programmierbar ist und dass sensible Daten darin 
auslesesicher gespeichert werden. AuBerdem kann eszum Schutz vor Manipulatio- 
nen durch ein Sicherheitsgehause gekapselt sein, oder wesentliche Bauelemente 
des Sicherheitsmodules konnen in eine Vergussmasse eingegossen sein. Sicher- 



heitsmodule fur Frankiermaschinen konnen als Multi-Chip-Module oder als Ein-Chip- 
Systeme (zum Beispiel Chipkarten) realisiert werden. Sie sind konstruktiv entweder 
fest mit der Frankiermaschine verbunden oder steckbar, wobei die Frankiermaschine 
als Spezialgerat oder durch einen herkommlichen Computer mit einer speziellen 
Software und gegebenenfalls zusatzlichen Hardwarebauteilen realisiert sein kann. 

Bei Frankiermaschinen ist es erforderlich, besondere SchutzmaSnahmen gegen 
nicht-autorisierte Benutzung der Frankiermaschine und gegen jegliche Manipulatio- 
nen zu treffen. Insbesondere bei durch einen herkommlichen Computer realisierten 
Frankiermaschinen ist aufcerdem zu verhindern, dass die verwendete spezielle 
Software unerlaubterweise vervielfaltigt und auf einem anderen Computer installiert 
und benutzt werden kann. 

Der Erfindung liegt demnach die Aufgabe zugrunde, eine mit besonderen Schutz- 
ma&nahmen ausgestattete Frankiermaschine anzugeben. 

Diese Aufgabe wird erfindungsgemafc durch eine Frankiermaschine gemaB Anspruch 
1 gelost. 

Der Erfindung liegt dabei der Gedanke zugrunde, dass ein unerlaubtes Kopieren 
einer Software und ein Betrieb auf einer anderen Hardware dadurch verhindert 
werden kann, dass eine spezielle Software nur zusammen mit einer speziellen 
Hardware, d.h. einem einzigen ganz speziellen Gerat, betrieben werden kann. 
Ubertragen auf eine Frankiermaschine bedeutet dies, dass diese erfindungsgemaS 
so ausgestaltet ist, dass sie nur dann betrieben werden kann und dass insbesondere 
wesentliche Funktionen wie die Abrechnung von Postgebuhrendaten und die 
Erzeugung von Frankierungen nur dann ausgefuhrt werden konnen, wenn eine 
Autorisierung der Steuereinheit beim Sicherheitsmodul durch Abfrage und Ubergabe 
eines vereinbarten Sicherheitskodes erfolgt. Diese Autorisierung erfolgt erf indungs- 
gemafS selbsttatig und ohne Zutun des Benutzers, der davon uberhaupt nichts 
bemerkt. Dadurch wird sichergestellt, dass ein Sicherheitsmodul ausschliefclich mit 
einer speziell daf ur autorisierten Steuereinheit betrieben werden kann. Soil dagegen 
dasselbe Sicherheitsmodul mit einer anderen Steuereinheit betrieben werden, 
beispielsweise dadurch, dass die Steuerungssoftware einer Frankiermaschine 
unberechtigterweise kopiert und auf einer anderen Frankiermaschine, zum Beispiel 
auf einem anderen Computer, betrieben werden, so ist dies bei der erfindungs- 
gemaSen Frankiermaschine nicht moglich, da sich diese Steuereinheit nicht 
autorisieren kann bzw. einen falschen Sicherheitskode liefern wurde. 



Die Frankiermaschine ist erfindungsgemaS dabei so ausgestaltet, dass die Abfrage 
und Obergabe des Sicherheitskodes nicht nur ein einziges Mai bei Inbetriebnahme 
der Frankiermaschine erfolgt, sondern insofern regelmafcig, als dass sie mehrfach 
und dauerhaft wahrend des Betriebes erfolgt. Diese Abfrage kann, wie bei der 
Ausgestaltung gemafc Anspruch 2 vorgesehen ist, auch in regelmafcigen oder 
unregelmafSigen Zeitabstanden erfolgen, wozu eine Modulrecheneinheit im 
Sicherheitsmodul vorgesehen ist. 

Der bei der bevorzugten Weiterbildung der Erfindung vorgesehene Zeitgeber dient 
dazu, eine Zeitdauer vorzugeben, innerhalb derer sich die Steuereinheit beim 
Sicherheitsmodul autorisieren muss, um eine Deaktivierung des Sicherheitsmodules 
zu verhindern. Diese Zeitdauer kann entweder einmalig festgesetzt und konstant 
sein oder auch vom Benutzer individual festgelegt werden. Um Manipulationen 
noch weiter zu erschweren kann aufcerdem vorgesehen sein, dass die Lange der 
Zeitdauer nach jeder Autorisierung vom Zeitgeber variiert und zufallig festgelegt 
wird, wozu der Zeitgeber beispielsweise einen Zufallsgenerator aufweist. 

Da ein f alscher oder fehlender Sicherheitskode nicht zwangslauf ig bedeuten muss, 
dass eine Manipulation oder nicht-autorisierte Benutzung der Frankiermaschine 
erfolgt, ist das Sicherheitsmodul gemafS Anspruch 5 derart ausgestaltet, dass es im 
deaktivierten Zustand jederzeit durch Obergabe des Sicherheitskodes aktivierbar ist. 
Wenn also beispielsweise aufgrund einer Kommunikationsstorung zwischen 
Steuereinheit und Sicherheitsmodul der Sicherheitskode nicht ubergeben werden 
konnte und das Sicherheitsmodul deshalb deaktiviert wurde, kann jederzeit nach 
Behebung der Kommunikationsstorung wieder eine Aktivierung erfolgen. 

Einen besonderen Schutz gegen unberechtigtes Kopieren der Steuerungssoftware 
der Frankiermaschine bietet die vorteilhafte Weiterbildung gemaS Anspruch 6. Als 
Sicherheitskode kann dabei beispielsweise die Maschinennummer der Steuereinheit 
verwendet werden, die dann auch dem Sicherheitsmodul bekannt sein muss. 

Vorteilhafterweise erfolgt die Obergabe des Sicherheitskodes von der Steuereinheit 
an das Sicherheitsmodul in verschlusselter Form, wie bei der Ausgestaltung gemaS 
Anspruch 7 vorgesehen ist. Auch dies bietet einen zusatzlichen Schutz vor 
Manipulationen beispielsweise durch Abhoren der Kommunikation zwischen 
Sicherheitsmodul und Steuereinheit, um den Sicherheitskode zu erhalten. 
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Die Erfindung betrifft auSerdem auch ein Sicherheitsmodul fur eine solche 
Frankiermaschine, wie es in Anspruch 8 angegeben ist. Dieses Sicherheitsmodul 
kann ebenfalls wie im Zusammenhang mit der Frankiermaschine beschrieben 
ausgestaltet sein. 

Die Erfindung wird nachfolgend anhand der Zeichnungen naher erlautert. Es zeigen: 

Figur 1 ein Blockschaltbild einer erfindungsgemafcen Frankier- 

maschine und 

Figur 2 ein Blockschaltbild der Steuereinheit und des Sicherheits- 

modules bei einer solchen Frankiermaschine. 

Figur 1 zeigtein Blockschaltbild einer erf indungsgema&en Frankiermaschine mit den 
wesentlichen Funktionseinheiten. Eine zentrale Steuereinheit 1, die vorliegend durch 
einen Mikroprozessor (CPU) realisiert ist, steuert den Druck von Postwertstempeln 
auf Postgut, was mit Hilfe eines Druckers 2 erfolgt. Die Steuereinheit 1 ist uber 
einen Steuerbus 3, der Adress-, Daten- und Steuerleitungen enthalt, mit dem 
Sicherheitsmodul 4 und mit dem Drucker 2 verbunden. 

Weiterhin ist die Steuereinheit 1 uber den Steuerbus 3 mit einem nicht-fluchtigen 
Speicher 5 und einem Arbeitsspeicher 6 verbunden. Im Speicher 5 ist ein zentrales 
Steuerprogramm fur die Steuereinheit 1 als Befehlsfolge sowie Vorlagen zum 
Zusammenstellen des Druckbildes des Postwertstempels abgelegt. Die Steuereinheit 
ladt eine gewunschte Vorlage in den Arbeitsspeicher 6 und bearbeitet diese 
entsprechend den Eingaben einer Bedienperson. Nach diesen Eingaben, zu denen 
auch die Eingabe des Portowertes zahlt, wird das gewunschte Druckbild erzeugt 
und im Arbeitsspeicher 6 gespeichert. 

Uber eine am Steuerbus 3 angeschlossene Tastatur 7 kann die Bedienperson die 
Frankiermaschine bedienen und zum Beispiel das Druckbild vorgeben. Eine von der 
Steuereinheit 1 angesteuerte Anzeige 8 informiert die Bedienperson uber die 
Ablaufe in der Frankiermaschine. Eine mit dem Steuerbus 3 verbundene Ein- 
/Ausgabeeinheit 9 ist mit nicht dargestellten Antriebselementen der Frankier- 
maschine und mit Sensoren verbunden, die den Zustand der Frankiermaschine 
uberwachen. An der Ein-/Ausgabeeinheit 9 ist auch ein nicht dargestelltes 
Transportsystem zum Transportieren des Postgutes angeschlossen. 
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Das Sicherheitsmodul 4 enthalt im allgemeinen, was nicht gezeigt ist, eine 
Abrecheneinheit. Von der Abrecheneinheit wird die Abrechnung von Postgebuhren 
durchgefuhrt, die dem Portowert entsprechen. Hinsichtlich des naheren Aufbaus 
und der Funktionsweise eines solchen bekannten Sicherheitsmodules sei auf die 
bereits genannte EP 789 333 A2 und auf die DE 299 05 219 U1 verwiesen. 

in Figur 2 ist die Steuereinheit 1 und das Sicherheitsmodul 4 einer erfindungs- 
gemafcen Frankiermaschine gezeigt, wobei nur die fur die Erfindung wesentlichen 
Funktionsgruppen des Sicherheitsmodules 4 dargestellt sind. Dieses weist eine 
Modulrecheneinheit 41 auf, die immer wieder wahrend des Betriebes der 
Frankiermaschine eine Autorisierung der Steuereinheit 1 erzwingt, wozu sie von der 
Steuereinheit 1 die Ubergabe eines vereinbarten Sicherheitskodes uber den 
Steuerbus 3 anfordert. Wenn diese Autorisierung nicht erfolgt oder falsch erfolgt, 
beispielsweise durch Ubergabe eines falschen Sicherheitskodes wegen einer 
Manipulation oder eines Austauschs der Steuereinheit 1 , schaltet die Modulrechen- 
einheit 41 das Sicherheitsmodul 4 in einen deaktivierten Zustand, so dass keine 
Abrechnung und auch keine Frankierung von Postgut mehr erfolgen kann. Zur 
Anzeige des aktuellen Zustandes ist eine Statussignalisierung 43 vorgesehen, wie 
sie in der DE 299 05 219 U1 beschrieben ist. 

Das Sicherheitsmodul 4 weist auSerdem einen Zeitgeber 42 auf, der festlegt, in 
welchen Zeitabstanden eine Autorisierung von der Modulrecheneinheit 41 bei der 
Steuereinheit 1 angefragt werden soli, bzw. nach welcher Zeitdauer seit der letzten 
Autorisierung das Sicherheitsmodul 4 automatisch deaktiviert wird, wenn keine 
neue Autorisierung erfolgt. Der Zeitgeber 42 ist dabei so ausgestaltet, dass diese 
Zeitdauer variabel ist, sich also nach jeder erfolgten Autorisierung andert, und 
zufallig bestimmt wird. Diestragt zusatzlich zur Vermeidung von Manipulationen der 
Frankiermaschine bei, da einem potentiellen Manipulierer niemals bekannt ist, in 
welchem Zeitabstanden eine Autorisierung von der Steuereinheit 1 gefordert wird 
und wie lange ggf . mit einer manipulierten Steuereinheit gearbeitet werden kann. 
Auch der Zeitgeber 42 ist dazu ausgestaltet, das Sicherheitsmodul 4 zu deaktivie- 
ren, wenn innerhalb der gesetzten Zeitdauer keine Autorisierung von der Steuer- 
einheit 1 erfolgt. 

Die Frankiermaschine ist so ausgestaltet, dass auch im deaktivierten Zustand des 
Sicherheitsmodules 4jederzeit ohne Anforderung durch die Modulrecheneinheit 41 
der Sicherheitskode von der Steuereinheit 1 ubergeben werden kann, um das 
Sicherheitsmodul 4 wieder zu aktivieren. Als Sicherheitskode dient bevorzugt ein 



die Hardware der Steuereinheit 1 identifizierender Kode, beispielsweise dessen 
Maschinennummer, die aus Sicherheitsgrunden bevorzugt in verschlusselter Form 
uber den Steuerbus 3 ubertragen wird. Dieser Sicherheitskode ist auch dem 
Sicherheitsmodul 4 bekannt und dort beispielsweise in der Modulrecheneinheit 41 
gespeichert, um zu uberprufen, ob der von der Steuereinheit 1 ubergebene 
Sicherheitskode der richtige ist. Dieser Sicherheitskode wird bevorzugt bei der 
erstenmaligen Inbetriebnahme und Freigabe des Sicherheitsmodules 4 festgelegt. 

Durch die Erfindung wird somit verhindert, dass das Sicherheitsmodul 4 mit einer 
anderen als der daf ur vorgesehenen Steuereinheit 1 betrieben wird. AufSerdem wird 
verhindert, dass die auf der Steuereinheit 1 installierte Software unberechtigter- 
weise kopiert und auf einer anderen Steuereinheit installiert und dort mit einem 
anderen Sicherheitsmodul betrieben werden kann. Unberechtigtes Vervielfaltigen 
der Frankierungssoftware, sogenannte Raubkopien, konnen somit wirkungsvoll 
verhindert werden. 

Die Erfindung ist nicht auf die vorliegende Ausfuhrungsform beschrankt, da 
offensichtlich weitere Ausfuhrungsformen der Erfindung entwickelt bzw. eingesetzt 
werden konnen, die vom gleichen Grundgedanken der Erfindung ausgehend von der 
Erfindung umfasst werden sollen. 



1 . Frankiermaschine zum Frankieren von Postgut mit einem Drucker (2) zum 
Drucken eines Postwertstempels auf das Postgut, mit einer Steuereinheit (1) zum 
Steuern des Drucks und peripherer Komponenten (7, 8, 9) der Frankiermaschine 
und mit einem Sicherheitsmodul (4) zum Abrechnen von Postgebuhrendaten, 
dadurch gekennzeichnet, dass Mittel (41 , 42) vorgesehen sind zur Autorisierung der 
Steuereinheit (1) durch selbsttatige Abfrage und Obergabe eines Sicherheitskodes 
von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des 
Sicherheitsmoduls (4) bei falschem Sicherheitskode oder fehlender Obergabe des 
Sicherheitskodes. 

2. Frankiermaschine nach Anspruch 1, 

dadurch gekennzeichnet, dass die Mittel eine im Sicherheitsmodul (4) angeordnete 
Modulrecheneinheit (41) zur Abfrage und Oberprufung des Sicherheitskodes in 
regelmafcigen oder unregelmafcigen Zeitabstanden aufweisen. 

3. Frankiermaschine nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, dass die Mittel einen im Sicherheitsmodul (4) angeord- 
neten Zeitgeber (42) zur Deaktivierung des Sicherheitsmoduls (4) nach Ablauf einer 
vom Zeitgeber (42) vorgegebenen Zeitdauer seit der letzten Autorisierung der 
Steuereinheit (1) aufweisen. 

4. Frankiermaschine nach Anspruch 3, 

dadurch gekennzeichnet, dass der Zeitgeber (42) derart ausgestaltet ist, dass die 
Lange der Zeitdauer zufallig und variabel ist. 

5. Frankiermaschine nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, dass das Sicherheitsmodul (4) derart ausgestaltet ist, dass 
es im deaktivierten Zustand jederzeit durch Obergabe des Sicherheitskodes 
aktivierbar ist. 

6. Frankiermaschine nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, dass als Sicherheitskode ein die Hardware der Steuer- 
einheit (1) identifizierender Kode verwendet wird. 
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7. Frankiermaschine nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, dass die Ubergabe des Sicherheitskodes von der 
Steuereinheit (1) an das Sicherheitsmodul (4) in verschlusselter Form erfolgt. 

8. Sicherheitsmodul fur eine Frankiermaschine mit einer Steuereinheit zum 
Steuern des Drucks von Postwertstempeln auf Postgut und peripherer 
Komponenten (7, 8, 9) der Frankiermaschine, 

dadurch gekennzeichnet, dass Mittel {41 , 42) vorgesehen sind zur Autorisierung der 
Steuereinheit (1) durch selbsttatige Abfrage und Ubergabe eines Sicherheitskodes 
von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des 
Sicherheitsmoduls (4) bei falschem Sicherheitskode Oder fehlender Ubergabe des 
Sicherheitskodes. 
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Zusammenfassunq 



Die Erf inclung betrifft eine Frankiermaschine zum Frankieren von Postgut mit einem 
Drucker (2) zum Drucken eines Postwertstempels auf das Postgut, mit einer 
Steuereinheit (1) zum Steuern des Druckens und peripherer Komponenten (7, 8, 9) * 
der Frankiermaschine und mit einem Sicherheitsmodul (4) zum Abrechnen von 
Postgebuhrendaten. Um bei einer solchen Frankiermaschine Manipulationen, nicht- 
autorisiertes Benutzen und unberechtigtes Kopieren einer Steuerungssoftware zu 
verhindern, sind erfindungsgemafc Mittel (41 , 42) vorgesehen zur Autorisierung der 
Steuereinheit (19 durch selbsttatige Abfrage und Ubergabe eines Sicherheitskodes 
von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des 
Sicherheitsmodules (4) bei f aischem Sicherheitskode oder fehiender Ubergabe des 
Sicherheitskodes. Im deaktivierten Zustand ist somit eine Abrechnung und 
Frankierung nicht mehr moglich. Die Erfindung betrifft auBerdem ein Sicherheits- 
modul fur eine solche Frankiermaschine. 
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